De meeste internetgebruikers hebben ongetwijfeld al eens van de term“proxyserver” gehoord. Dit verwijst naar een “tussenpersoon” die verzoeken van klanten doorstuurt naar een webserver op het internet. In het omgekeerde geval spreekt men van een “reverse proxy”. Deze zit meestal verborgen achter de firewall en stuurt verzoeken van buitenaf door naar de backend servers van het interne netwerk. In dit artikel leggen we uit wat een reverse proxy precies is en hoe hij werkt. We bekijken ook enkele typische toepassingsgebieden ervan.
- Een reverse proxy kan worden gebruikt om externe verzoeken te reguleren op basis van toegangscontrole.
- De reverse proxy is de tegenhanger van de forward proxy, maar verschilt niet veel van zijn werkwijze.
- Het gebruik van een proxy is vaak een kwestie van kosten en moeite.
Inhoudsopgave
Wat is een reverse proxy en hoe werkt hij?
De toevoeging van de naam suggereert misschien dat de reserve proxy een reverse proxy server is, maar dat is slechts de helft van de uitleg. De twee varianten verschillen alleen in de richting van het dataverkeer, maar de werkwijze is in wezen hetzelfde.
In grote bedrijven worden proxyservers gebruikt om de internettoegang van werknemers te reguleren, datavolume en bandbreedte te besparen en ongecontroleerde toegang tot het web te voorkomen. Concreet betekent dit dat wanneer een werknemer vanaf het bedrijfsnetwerk toegang tot het internet wil, hij of zij eerst via de proxyserver moet gaan. Deze neemt de verzoeken van de interne clients aan en stuurt ze bidirectioneel door naar een ontvanger (bijvoorbeeld een website). De identiteit van de eigenlijke afzender blijft dus verborgen, aangezien de ontvanger alleen met de proxyserver communiceert.
De reverse proxy doet het andersom: hij stuurt verzoeken van het internet door naar de interne webserver. Er wordt echter alleen contact opgenomen als de reverse proxy het verzoek niet vanuit zijn eigen cache kan beantwoorden. Dit beschermt de webserver tegen directe aanvallen van buitenaf.
Terwijl een forward proxy de clients van een netwerk beschermt tegen gevaarlijke invloeden van het internet, is het idee achter een reverse proxy een enkel (veilig) toegangspunt tot het netwerk, waarvoor niet noodzakelijk een VPN nodig is. Hij aanvaardt als proxy verzoeken van servers en stuurtdeze doornaar de overeenkomstige clients met zijn eigen afzenderadres. In ruil daarvoor verleent hij één of meer externe cliënten toegang tot het interne netwerk.
Waarvoor worden reverse proxies gebruikt?
Gewoonlijk wordt een reverse proxy altijd gebruikt om de veiligheid te verhogen. Klassieke toepassingsgebieden zijn bijvoorbeeld:
- Beveiliging en controle: U kunt virusscanners, firewalls of pakketfilters installeren op een reverse proxy, die een extra beschermend scherm vormen voor de servers en clients van het interne netwerk.
- Encryptie: Voor sommige beveiligde websites is het niet de webserver die de encryptie (SSL) genereert, maar een reverse proxy. Het uitbesteden van de certificaten ontlast de webserver, en ACL’s (“Access Control Lists”) kunnen ook op versleutelde pagina’s worden gebruikt.
- Load balancing: Een reverse proxy kan ervoor zorgen dat de werklast gelijkmatig over meerdere servers wordt verdeeld. Daartoe koppelt hij een URL aan meerdere servers in het interne netwerk. Enerzijds voorkomt dit overbelasting en anderzijds wordt een hoge beschikbaarheid bereikt, omdat bij een storing de aanvragen worden doorgestuurd naar een van de overgebleven machines. Tegelijkertijd wordt ook het aantal benodigde (externe) IP-adressen verminderd, omdat via één adres toegang kan worden verkregen.
- Single sign-on: De reverse proxy kan de gebruikersauthenticatie voor meerdere webservers overnemen. Dit betekent dat u maar één keer hoeft in te loggen om gebruik te maken van de diensten van meerdere machines.
- DNS caching: Statische inhoud, zoals afbeeldingen, kunnen door de reverse proxy worden gecached. Dit verhoogt de prestaties, omdat meer verzoeken parallel kunnen worden afgehandeld en de webserver tegelijkertijd wordt ontlast.
- Anonimiteit: De reverse proxy vormt de enige toegang tot het interne netwerk en onderschept alle verzoeken aan de achterliggende servers. Hij gedraagt zich tegenover de clients alsof de communicatie met het eigenlijke doelsysteem plaatsvindt. Daartoe ontvangt hij de verzoeken aan het doelsysteem en stuurt ze door naar de client binnen het netwerk. Vervolgens geeft hij het antwoord van het doelsysteem door aan de verzoekende cliënt. De eigenlijke server blijft echter volledig anoniem.
- Compressie: Als de proxy is uitgerust met pakkingsoftware zoals gzip, kan hij ook worden gebruikt om inkomende en uitgaande gegevens te comprimeren . Dit bespaart tijd en komt op zijn beurt de snelheid ten goede.
Goed om te weten: De populairste open-source oplossingen voor reverse proxies zijn Squid en Nginx, die beide geschikt zijn voor zowel kleine netwerken als grote proxy-netwerken. Ze worden vaak samen met een Apache HTTP-server gebruikt.
3. nadelen van reverse proxies
Naastalle genoemde voordelen hebben reverse proxies ook enkele nadelen, die we in dit artikel niet onvermeld willen laten.
Enerzijdscreëert elke nieuwe communicatie-interface automatisch een nieuwe bron van fouten, wat bij een storing of door een verkeerde configuratie tot problemen in het netwerkverkeer kan leiden. Daarnaast is er het feit dat niet alle toepassingen proxyservers ondersteunen. Zo gooien zelfs sommige bekende online games de handdoek in de ring zodra een proxy in het spel komt.
Als u al het dataverkeer via de reverse proxy wilt afhandelen, moet u ook voor elk gebruikt internetprotocol een aparte proxy installeren. Het gebruikte programma moet dus alle bestaande internetprotocollen aankunnen. Dit verhoogt reeds bij de installatie de configuratie-inspanning.
Bovendien moet u altijd de kosten in de gaten houden, want de reverse proxy moet, net als elke andere communicatie-interface in het netwerk, zo redundant mogelijk worden ontworpen .